Weder Taskmanager, noch regedit, noch antiviren programme lassen sich öffnen

Jake · 05. Januar 2006, 17:29:32 Uhr

Hallo alle zusammen,

bei mir hat sich nach einer Infektion mit dem Sasser-Virus folgendes Problem eingestellt:
Ich kann die im Titel genannten Anwendungen nicht mehr starten. Sie schließen sich nach kurzem auf blitzen sofort wieder (auch ohne jegliche Meldung). Ich hab bereits Foren-Einträge nach ähnlichen Problemen durchgeschaut, bin allerdings auf keine konkrete Lösung gestossen, bzw. waren sie nicht anwendbar, weil ich die dafür nötigen Programme nicht starten kann.
Im abgesicherten Modus hab ich folgendes Hijackthis log-file erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 17:09:17, on 05.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Jake\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Windows Media Player Service] wmedia.exe
O4 - HKLM\..\RunServices: [Microfost Windows update] hqmswnz.exe
O4 - HKLM\..\RunServices: [Windows Media Player Service] wmedia.exe
O4 - HKCU\..\Run: [Microfost Windows update] hqmswnz.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Media Player Service] wmedia.exe
O4 - HKCU\..\RunServices: [Windows Media Player Service] wmedia.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\zdv\VPN Client\cvpnd.exe

Ich hoffe jemand kann mir bei dem Problem helfen. Ist kein gutes Gefühl keine Informationen über seinen eigenen Computer mehr einholen zu können. Danke!

gandal · 05. Januar 2006, 17:35:06 Uhr

Folgendes solltest Du fixen:

O4 - HKLM\..\Run: [Windows Media Player Service] wmedia.exe
O4 - HKLM\..\RunServices: [Microfost Windows update] hqmswnz.exe
O4 - HKLM\..\RunServices: [Windows Media Player Service] wmedia.exe
O4 - HKCU\..\Run: [Microfost Windows update] hqmswnz.exe
O4 - HKCU\..\Run: [Windows Media Player Service] wmedia.exe
O4 - HKCU\..\RunServices: [Windows Media Player Service] wmedia.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?

Jake · 05. Januar 2006, 17:36:43 Uhr

Vielen Dank, werd ich versuchen, letzteres kann ich allerdings zuordnen, bzw. ist erwünscht, gibt es einen Grund es trotzdem zu fixen?

tyco · 05. Januar 2006, 17:39:38 Uhr

Deaktiviere die Systemwiederherstellung und starte den Rechner im abgesicherten Modus (F8):

Fixe folgendes:

O4 - HKLM\..\RunServices: [Microfost Windows update] hqmswnz.exe

O4 - HKLM\..\RunServices: [Windows Media Player Service] wmedia.exe

O4 - HKCU\..\Run: [Microfost Windows update] hqmswnz.exe

O4 - HKCU\..\Run: [Windows Media Player Service] wmedia.exe

O4 - HKCU\..\RunServices: [Windows Media Player Service] wmedia.exe

Danach leere den Papierkorb und scanne den Rechner nochmal mit Spybot Search & Destroy.

Upps...gandal war fixer.

Den Neatgeareintrag brauchst Du nicht fixen.

gandal · 05. Januar 2006, 17:40:51 Uhr

Ist das ein Netgear USB, kannst Du auch lassen.

@tyco
hab ich doch glatt Dein Schnappsranking verpaßt ...

Jake · 05. Januar 2006, 17:47:35 Uhr

puh, leider gibt es noch ein kleines problem, ich kann die systemwiederherstellung nicht deaktivieren, weil ich nicht auf das system menü komme (es geht nichts über systemsteuerung noch über eigenschaften des arbeitsplatz). Kann ich die systemwiederherstellung auch irgendwie anders deaktivieren (z.B. durch ein ausführen befehl)?

Jake · 05. Januar 2006, 17:50:58 Uhr

sorry, aus irgendeinem Grund geht's jetzt nach mehrmaligem probieren. War zu übereifrig, ich seh schon Probleme wo's keine gibt. Werd es jetzt mit hijackthis probieren und berichten, vielen Dank schon mal jetzt für die schnelle Hilfe.

tyco · 05. Januar 2006, 17:54:15 Uhr

Zitat von: gandal in 05. Januar 2006, 17:40:51 Uhr
@tyco
hab ich doch glatt Dein Schnappsranking verpaßt ...

Ich habe es selbst nicht bemerkt...tztztz

Jake · 05. Januar 2006, 17:59:59 Uhr

Alles wieder wie gewohnt. Vielen DANK!! Ich wünsche euch noch viel Erfolg bei eurem Contest im Schnappsranking!! ;-)

Bis zum nächsten Problem.... :-)